Odzyskiwanie po ataku wymuszającym okup na platformie Microsoft 365

Dotyczy

Nawet jeśli podejmiesz wszelkie środki ostrożności, aby chronić swoją organizację, nadal możesz paść ofiarą ataku ransomware . Oprogramowanie wymuszające okup to duży biznes, a w dzisiejszym krajobrazie zagrożeń platforma Microsoft 365 jest coraz większym celem zaawansowanych ataków.

Kroki opisane w tym artykule dają największą szansę na odzyskanie danych i zatrzymanie wewnętrznego rozprzestrzeniania się infekcji. Przed rozpoczęciem należy wziąć pod uwagę następujące elementy:

  • Nie ma gwarancji, że zapłacenie okupu zwróci dostęp do plików. W rzeczywistości płacenie okupu może sprawić, że będziesz celem dla większej liczby ransomware.

    Jeśli już zapłacono, ale odzyskano je bez korzystania z rozwiązania osoby atakującej, skontaktuj się z bankiem, aby sprawdzić, czy może zablokować transakcję.

    Zalecamy również zgłoszenie ataku wymuszającego okup do organów ścigania, witryn internetowych raportowania oszustw i firmy Microsoft zgodnie z opisem w dalszej części tego artykułu.

  • Ważne jest, aby szybko reagować na atak i jego konsekwencje. Tym dłużej czekasz, tym mniejsze jest prawdopodobieństwo odzyskania danych, których dotyczy problem.

Krok 1. Weryfikowanie kopii zapasowych

Jeśli masz kopie zapasowe w trybie offline, prawdopodobnie możesz przywrócić zaszyfrowane dane po usunięciu ładunku wymuszającego okup (złośliwe oprogramowanie) ze środowiska i po sprawdzeniu, czy nie ma nieautoryzowanego dostępu w środowiskach platformy Microsoft 365.

Jeśli nie masz kopii zapasowych lub jeśli oprogramowanie wymuszające okup również miało wpływ na kopie zapasowe, możesz pominąć ten krok.

Krok 2. Wyłączanie Exchange ActiveSync i synchronizacja usługi OneDrive

Kluczowym punktem jest zatrzymanie rozprzestrzeniania się szyfrowania danych przez oprogramowanie wymuszające okup.

Jeśli podejrzewasz, że wiadomość e-mail jest celem szyfrowania oprogramowania wymuszającego okup, tymczasowo wyłącz dostęp użytkowników do skrzynek pocztowych. Exchange ActiveSync synchronizuje dane między urządzeniami i skrzynkami pocztowymi Exchange Online.

Aby wyłączyć Exchange ActiveSync dla skrzynki pocztowej, zobacz Jak wyłączyć Exchange ActiveSync dla użytkowników w Exchange Online.

Aby wyłączyć inne typy dostępu do skrzynki pocztowej, zobacz:

Wstrzymanie synchronizacja usługi OneDrive pomoże chronić dane w chmurze przed aktualizacją przez potencjalnie zainfekowane urządzenia. Aby uzyskać więcej informacji, zobacz Jak wstrzymać i wznowić synchronizację w usłudze OneDrive.

Krok 3. Usuwanie złośliwego oprogramowania z urządzeń, których dotyczy problem

Uruchom pełne, bieżące skanowanie antywirusowe na wszystkich podejrzanych komputerach i urządzeniach, aby wykryć i usunąć ładunek skojarzony z oprogramowaniem wymuszającym okup.

Nie zapomnij przeskanować urządzeń synchronizujących dane lub obiektów docelowych zamapowanych dysków sieciowych.

Można użyć Windows Defender lub (dla starszych klientów) Microsoft Security Essentials.

Alternatywą, która pomoże Ci również usunąć oprogramowanie wymuszające okup lub złośliwe oprogramowanie, jest narzędzie do usuwania złośliwego oprogramowania (MSRT).

Jeśli te opcje nie działają, możesz spróbować Windows Defender w trybie offline lub rozwiązać problemy z wykrywaniem i usuwaniem złośliwego oprogramowania.

Krok 4. Odzyskiwanie plików na oczyszczonym komputerze lub urządzeniu

Po wykonaniu poprzedniego kroku w celu usunięcia ładunku oprogramowania wymuszającego okup ze środowiska (co uniemożliwi oprogramowanie wymuszające okup szyfrowanie lub usunięcie plików), możesz użyć historii plików w Windows 11, Windows 10, Windows 8.1 i za pomocą ochrony systemu w systemie Windows 7, aby spróbować odzyskać lokalne pliki i foldery.

Uwagi:

  • Niektóre programy wymuszające okup będą również szyfrować lub usuwać wersje kopii zapasowych, więc nie można przywrócić plików za pomocą historii plików ani ochrony systemu. W takim przypadku należy użyć kopii zapasowych na dyskach zewnętrznych lub urządzeniach, na które oprogramowanie wymuszające okup nie miało wpływu, lub w usłudze OneDrive, zgodnie z opisem w następnej sekcji.

  • Jeśli folder jest synchronizowany z usługą OneDrive i nie używasz najnowszej wersji systemu Windows, mogą istnieć pewne ograniczenia dotyczące historii plików.

Krok 5. Odzyskiwanie plików w OneDrive dla Firm

Przywracanie plików w OneDrive dla Firm umożliwia przywrócenie całej usługi OneDrive do poprzedniego punktu w czasie w ciągu ostatnich 30 dni. Aby uzyskać więcej informacji, zobacz artykuł Przywracanie w usłudze OneDrive.

Krok 6. Odzyskiwanie usuniętej wiadomości e-mail

W rzadkich przypadkach, gdy oprogramowanie wymuszające okup usunęło całą wiadomość e-mail, prawdopodobnie można odzyskać usunięte elementy. Więcej informacji można znaleźć w następujących artykułach:

Krok 7. Ponowne włączanie Exchange ActiveSync i synchronizacja usługi OneDrive

Po oczyszczeniu komputerów i urządzeń oraz odzyskaniu danych można ponownie włączyć Exchange ActiveSync i synchronizacja usługi OneDrive, które zostały wcześniej wyłączone w kroku 2.

Krok 8 (opcjonalnie): blokuj synchronizacja usługi OneDrive dla określonych rozszerzeń plików

Po odzyskaniu danych można uniemożliwić OneDrive dla Firm klientom synchronizowanie typów plików, których dotyczy ten oprogramowanie wymuszające okup. Aby uzyskać więcej informacji, zobacz Set-SPOTenantSyncClientRestriction

Zgłoś atak

Skontaktuj się z organami ścigania

Należy skontaktować się z lokalnymi lub federalnymi organami ścigania. Jeśli na przykład jesteś w Stany Zjednoczone możesz skontaktować się z lokalnym biurem terenowym FBI, IC3 lub Secret Service.

Przesyłanie raportu do witryny internetowej zgłaszania oszustw w twoim kraju

Witryny z raportami o oszustwach zawierają informacje o tym, jak zapobiegać oszustwom i unikać ich. Zapewniają one również mechanizmy zgłaszania, jeśli padłeś ofiarą oszustwa.

Jeśli Twojego kraju nie ma na liście, zapytaj lokalne lub federalne organy ścigania.

Przesyłanie wiadomości e-mail do firmy Microsoft

Komunikaty wyłudzania informacji zawierające oprogramowanie wymuszające okup można zgłaszać przy użyciu jednej z kilku metod. Aby uzyskać więcej informacji, zobacz Zgłaszanie komunikatów i plików do firmy Microsoft.

Dodatkowe zasoby oprogramowania wymuszającego okup

Kluczowe informacje od firmy Microsoft:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Wpisy w blogu zespołu ds. zabezpieczeń firmy Microsoft: